AUDITORIA DE SISTEMAS_METODOLOGÍA USANDO ESTÁNDAR COBIT.pptx

(1)

M

Meetto

od

do

ollo

oggííaa p

prrááccttiiccaa p

paarraa aau

ud

diitto

orrííaa d

dee ssiisstteem

maass

aap

plliiccaan

nd

do

o eell eessttáán

nd

daarr d

dee m

meejjo

orreess p

prrááccttiiccaass C

Co

ob

bIITT

4.1

4.1 Fr

Fran

anci

cisc

sco

o Ni

Nico

colá

láss Ja

Javi

vier

er So

Sola

lart

rtee So

Sola

lart

rtee

Auditoría de sistemas

(2)

FI-GQ-GCMU-004-015 FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013 Vulnerabilidad Vulnerabilidad

Auditoría de sistemas

Vulnerabilidad, Amenaza y Riesgo

Amenaza Amenaza

Riesgo Riesgo

(3)

U

Unnaa vvuullnneerraabbiilliiddaadd eess uunnaa ddeebbiilliiddaadd eenn uunn ssiisstteemmaa iinfnforormámátiticcoo ququee pupuededee seserr apaprroovvecechahadodo poporr unun aattacacananttee paparraa vviioollaarr llaa sseegguurriiddaadd yy ccoommeetteerr uunn ddeelliittoo ccaauussaannddoo ddaaññooss.. LLaa V

Vuullnneerraabbiilliiddaadd eess llaa ccaappaacciiddaadd,, llaass ccoonnddiicciioonneess yy ccaarraacctteerrííssttiiccaass ddeell ssiisstteemmaa mmiissmmoo,, qquuee lloo hhaaccee ssuusscceeppttiibbllee aa a

ammeennaazzaass,, ccoonn eell rreessuullttaaddoo dede ssuuffrriirr aallggúúnn ddaaññoo..

Auditoría de sistemas

Definición de vulnerabilidad informática

(4)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

LLaass vvuullnneerraabbiilliiddaaddeess ssoonn ccoonnssiiddeerraaddaass ccoommoo uunn eelleemmeennttoo iinntteerrnnoo ddeell ssiisstteemmaa ppoorr lloo ttaannttoo eess ddeebbeerr ddee llooss a

addmmiinniissttrraaddoorreess yy uussuuaarriiooss ddeetteeccttaarrllooss,, vvaalloorraarrllooss yy rreedduucciirrllooss.. LLaass vvuullnneerraabbiilliiddaaddeess eessttáánn ddiirreeccttaammeennttee rreellaacciioonnaaddaass ccoonn llaass aammeennaazzaass,, ppoorr lloo ttaannttoo ssii nnoo eexxiisstteenn vvuullnneerraabbiilliiddaadd ttaammppooccoo hhaabbrráá aammeennaazzaass..

Auditoría de sistemas

Definición de vulnerabilidad informática

(5)

Vulne

Vulnerabilidad

rabilidad Física:

Física:

Relacionada con el acceso físico alRelacionada con el acceso físico al sistema o al acceso a

sistema o al acceso a las instalaciones del área informática olas instalaciones del área informática o a los equipos de cómputo que

a los equipos de cómputo que contienen la información ocontienen la información o forman partes de los procesos esenciales del sistema. forman partes de los procesos esenciales del sistema.

Auditoría de sistemas

Definición de vulnerabilidad informática

(6)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

V

Vu

ulln

neerraab

biilliid

daad

d

N

Naattu

urraall::

SSeennssiibbiilliiddaadd ddee llooss aaccttiivvooss iinnffoorrmmááttiiccooss aa ffaaccttoorreess nnaattuurraalleess eenn eell eennttoorrnnoo,, ppuueeddeenn sseerr d

deessaassttrreess ooccaassiioonnaaddooss ppoorr ffuueerrzzaass nanattuurraalleess qquuee ccaauussaann d

daaññoo aall ssiisstteemmaa.. EEssttee ttiippoo ddee vvuullnneerraabbiilliiddaaddeess eessttáánn a

assoocciiaaddaass aa ddeeffiicciieenncciiaass eenn llaass mmeeddiiddaass ttoommaaddaass ppaarraa af

afrorontntarar loloss dedesasaststreres.s.

Auditoría de sistemas

Definición de vulnerabilidad informática

(7)

V

Vu

ulln

neerraab

biilliid

daad

d d

deell H

Haarrd

dw

waarree::

LLaass vvuullnneerraabbiilliiddaaddeess ddee h

haarrddwwaarree rreepprreesseennttaann llaa pprroobbaabbiilliiddaadd ddee qquuee llaass ppiieezzaass ffííssiiccaass ddeell ssiisstteemmaa ffaalllleenn ddeejjaannddoo aall ssiisstteemmaa ddeesspprrootteeggiiddoo oo iinnooppeerraabbllee.. TTaammbbiiéénn hhaacceenn rreellaacciióónn aa llaass ffoorrmmaass eenn qquuee eell h

haarrddwwaarree ppuueeddee sseerr uussaaddoo ppaarraa aattaaccaarr llaa sseegguurriiddaadd ddeell sistema.

sistema.

Auditoría de sistemas

Definición de vulnerabilidad informática

(8)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

V

Vuln

ulner

erabi

abilid

lidad

ad Sof

Softw

tware

are::

UUnn pprroodduuccttoo ssooffttwwaarree ppuueeddee sseerr vvuullnneerraabbllee aannttee aattaaqquueess ddee oottrroo ssooffttwwaarree,, ddeebbiiddoo aa eerrrroorreess d

dee pprrooggrraammaacciióónn,, oo eerrrroorreess eenn eell ddiisseeññoo ppaarraa eell ccoonnttrrooll ddee ac

accecesoso,, seseguguriridadad,d, imimplplanantataciciónón,, enentrtree ototroros.s.

Auditoría de sistemas

Definición de vulnerabilidad informática

(9)

V

Vu

ulln

neerraab

biilliid

daad

d d

dee llaa R

Reed

d::

LLaass rreeddeess ssoonn llooss ssiisstteemmaass mmááss vvuullnneerraabblleess yyaa qquuee ssee ttrraattaa ddee uunnaa sseerriiee ddee eeqquuiippooss ccoonneeccttaaddooss eenntrtree ssii ccoommppaartrtiieennddoo rreeccuurrssooss lloo qquuee ppoossiibbiilliittaa llooss aattaaqquueess aa ttooddaa llaa rreedd ppeenneettrraannddoo uunnoo ddee llooss eeqquuiippooss yy po

poststererioiormermentntee exexpapandndirirsese alal rereststo.o.

Auditoría de sistemas

Definición de vulnerabilidad informática

(10)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

V

Vul

ulne

nerrab

abiili

lid

dad

ad de

dell ffac

acttor

or hu

huma

man

no

o

:: EEll eelleemmeennttoo hhuummaannoo eess e

ell mmááss ddiiffíícciill ddee ccoonnttrroollaarr yy eell mmááss vvuullnneerraabbllee ddeell ssiisstteemmaa.. A

Allgguunnaass ddee llaass vvuullnneerraabbiilliiddaaddeess ddee oorriiggeenn hhuummaannoo ssoonn llaa ffaallttaa ddee ccaappaacciittaacciióónn yy ccoonncciieennttiizzaacciióónn ddaannddoo lluuggaarr aall ccuummpplliimmiieennttoo ddee ppoollííttiiccaass ddee sseegguurriiddaadd oo eell mmaall mmaanneejjoo ddeell eq

equiuipopo dede ccómómpuputtoo y/y/oo elel sisissttememaa ininfforormámátiticcoo..

Auditoría de sistemas

Definición de vulnerabilidad informática

(11)

LLaass aammeennaazzaass ssoonn ffaaccttoorreess eexxtteerrnnooss aall ssiisstteemmaa ppoorr lloo ccuuááll eess p

poossiibbllee eessttaabblleecceerr mmeeddiiddaass ppaarraa pprrootteeggeerrssee ppeerroo eess p

prrááccttiiccaammeennttee iimmppoossiibbllee ccoonnttrroollaarrllaass oo eelliimmiinnaarrllaass.. LLaass a

ammeennaazzaass ssoonn eevveennttooss qquuee ppuueeddeenn ccaauussaarr aalltteerraacciioonneess eenn llooss aaccttiivvooss iinnffoorrmmááttiiccooss oo llaa iinnffoorrmmaacciióónn ooccaassiioonnaannddoo p

péérrddiiddaass mmaatteerriiaalleess,, eeccoonnóómmiiccaass,, ddee iinnffoorrmmaacciióónn qquuee af

afecectatann elel prpresestitigigioo dede lala ororggananizizacacióión.n.

Auditoría de sistemas

Definición de amenaza informática

(12)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

A

Am

meen

naazzaa d

dee ffaacctto

orr h

hu

um

maan

no

o::

LLaass ppeerrssoonnaass ssoonn llaa pprriinncciippaall ffuueennttee ddee aammeennaazzaa eenn llooss ssiisstteemmaass iinnffoorrmmááttiiccooss yy eess eell ttiippoo d

dee aammeennaazzaa ddoonnddee ssee iinnvviieerrttee mmááss rreeccuurrssooss ppaarraa ccoonnttrroollaarrllooss.. EEnnttrree llaass aammeennaazzaass mmááss ccoommuunneess eessttáánn:: C

Cuurriioossooss,, IInnttrruussooss,, PPeerrssoonnaall iinntteerrnnoo,, TTeerrrroorriissttaass,, RRoobboo,, Sa

Sabobotatajeje,, FrFrauaudede,, InIngegeniniereríaía sosocicialal..

Auditoría de sistemas

Definición de amenaza informática

(13)

A

Am

meen

naazzaa d

dee H

Haarrd

dw

waarree::

OOccaassiioonnaaddaa ppoorr ffaallllaass ffííssiiccaass qquuee p

prreesseenntteenn llooss eelleemmeennttooss ddee hhaarrddwwaarree qquuee ssooppoorrttaann aall ssiisstteemmaa iinnffoorrmmááttiiccoo.. EEssttaass ffaallllaass ppuueeddeenn sseerr ddeeffeeccttooss ddee ffaabbrriiccaacciióónn,, ddiisseeññoo ddeell haharrddwwaarree,, mmaall uussoo,, ddeessccuuiiddoo,, ffaallttaa ddee ma

mantntenenimimieientntoo,, SuSumimininiststroro dede enenerergígía,a, DeDesgsgasastete..

Auditoría de sistemas

Definición de amenaza informática

(14)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

A

Am

meen

naazzaa een

n llaa R

Reed

d d

dee d

daatto

oss::

LLaass ddooss pprriinncciippaalleess aammeennaazzaass e

enn uunnaa rreedd ddee ddaattooss ssoonn llaa nnoo ddiissppoonniibbiilliiddaadd ddee llaa rreedd yy llaa e

exxttrraacccciióónn llóóggiiccaa ddee iinnffoorrmmaacciióónn ppoorr aattaaqquueess ddeelliibbeerraaddooss.. E

Ennttrree llaass aammeennaazzaass eenn llaa rreedd eessttáánn:: IInnccuummpplliimmiieennttoo ddee no

normrmasas ccabablleeadadoo esestrtrucuctuturradadoo,, llaa ccononfifigugurracacióiónn dede seservrviiciciosos,, sseegguuririddaadd ddee uussuuaarriiooss ddee llaa rreedd,, llaa ttooppoollooggííaa eelleeggiiddaa..

Auditoría de sistemas

Definición de amenaza informática

(15)

Am

Amen

enaz

azaa een

n el

el So

Soft

ftw

war

are:

e:

LaLass amamenenazazasas dede sosoftftwwararee ininccluluyyenen p

poossiibblleess ffaallllaass ddee uunn ssiisstteemmaa ooppeerraattiivvoo,, ssooffttwwaarree mmaall d

deessaarrrroollllaaddoo,, mmaall ddiisseeññaaddoo oo mmaall iimmppllaannttaaddoo,, ssooffttwwaarree m

maalliicciioossoo aammeennaazzaa ddiirreeccttaa ccoonnttrraa eell ssiisstteemmaa.. DDeennttrroo ddee llooss ttiippooss ddee aammeennaazzaa eenn eell ssooffttwwaarree tteenneemmooss:: SSooffttwwaarree ddee d

deessaarrrroolllloo,, SSofoftwtwaarree ddee apaplliiccaacciióónn,, CCódódiiggoo mmaalliicciioossoo,, VViiruruss,, T

Trroyoyananosos,, GuGusasanonos,s, ErErrrororeses dede prprogogrramamacacióiónn yy didiseseñoño..

Auditoría de sistemas

Definición de amenaza informática

(16)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

S

Seeggúúnn llaa IISSOO rriieessggoo eess:: “La“La _p_prro_ob_ba_ab_biilliid_da_ad_{d d}_de_{e q}_qu_ue_{e u}_un_na_{a a}_am_me_en_na_azza_a

ssee mmaatteerriiaalliiccee,, uuttiilliizzaannddoo llaa vvuullnneerraabbiilliiddaadd eexxiisstteenntteess ddee uunn a

accttiivvoo oo ggrruuppooss ddee aaccttiivvooss,, ggeenneerráánnddoolleess ppéérrddiiddaass oo daños” daños”_..

E

Ell rriieessggoo eess uunnaa ccoonnddiicciióónn ddeell mmuunnddoo rreeaall,, eenn eell ccuuaall hhaayy uunnaa e

exxppoossiicciiónón aa llaa aaddvveerrssiiddaadd ccoonnffoormrmaaddaa ppoorr uunnaa ccomombbiinnaacciióónn de

de cicircrcununsstatancnciaiass dedell enentotornrnoo cconon poposisibibililidadadd dede pépérdrdididasas..

Auditoría de sistemas

Definición de riesgo informático

(17)

Riesgos de Integridad

: Interface del usuario, Procesamiento,: Interface del usuario, Procesamiento, Procesamiento de errores, Interface, Administración de Procesamiento de errores, Interface, Administración de

cambios, Información. cambios, Información.

Riesgos de Relación:

Estos riesgos se refieren al usoEstos riesgos se refieren al uso oportuno de la

oportuno de la información creada por una aplicación para lainformación creada por una aplicación para la toma de decisiones.

toma de decisiones.

Auditoría de sistemas

Tipos de riesgo informático

(18)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Riesgos de Acceso:

Procesos de negocio, Aplicación,Procesos de negocio, Aplicación, Administración de la información, Entorno de

Administración de la información, Entorno de procesamiento, Redes, Nivel físico

procesamiento, Redes, Nivel físico

Riesgos de utilidad:

Técnicas de recuperación/restauraciónTécnicas de recuperación/restauración usadas en caso

usadas en caso de caída de de caída de los sistlos sistemas, los Backemas, los Backupsups y planesy planes de contingencia.

de contingencia.

Auditoría de sistemas

Tipo de riesgo informático

(19)

Riesgos en la

Riesgos en la Infr

Infraestructura:

aestructura:

Planeación Planeación organizorganizacional,acional, Definición de las aplicaciones, Administración de seguridad, Definición de las aplicaciones, Administración de seguridad,

Operaciones de red

Operaciones de red y computacionales, Administración dey computacionales, Administración de sistemas de bases de datos, Información / Negocio.

sistemas de bases de datos, Información / Negocio.

Riesgos de seguridad

Riesgos de seguridad general:

general:

Riesgos de choque deRiesgos de choque de eléctrico, Riesgos de incendio, Riesgos de

eléctrico, Riesgos de incendio, Riesgos de nivelesniveles inadecuados de energía eléctrica, Riesgos de

inadecuados de energía eléctrica, Riesgos de radiaciones,radiaciones, Riesgos mecánicos

Riesgos mecánicos

Auditoría de sistemas

Tipos de riesgo informático

(20)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Concentr

Concentración de

ación de procesamiento de aplicaciones de

procesamiento de aplicaciones de mayor

mayor

complejidad

Dependencia en el personal

Dependencia en el personal clave

clave

Desaparición de los

Desaparición de los controles tradicionales

controles tradicionales

Huelgas, terrorismo e inestabilidad social

Auditoría de sistemas

Tipos de riesgo informático

(21)

Auditoría de

Auditoría de sistemas

sistemas

Metodología de la Auditoría

FASE ACTIVIDADES

Conocimient Conocimiento o deldel

sistema o área sistema o área

auditada auditada

1.

1. IdIdenentitifificacar er el orl origigen den de le la aua audiditotoriria.a. 2.

2. ReaRealizar vlizar visitaisitas para cons para conocer procer procesoocesos, actis, activos infvos informáormáticos, ticos, procprocesos y orgesos y organizaanización deción del área auditl área auditada.ada. 3.

3. DetDetermierminar las vnar las vulneulnerabirabilidadlidades, y ames, y amenazaenazas infos informátrmáticas a qicas a que estue está expá expuestuesta la orga la organizanizaciónación.. 4.

4. DetDeterminerminar el obar el objetivjetivo de la auo de la auditoditoría de acría de acuerduerdo a las vuo a las vulnerlnerabiliabilidadedades, y ames, y amenazas nazas infoinformátrmáticasicas encontradas. encontradas. Planeación de la Planeación de la Auditoria Auditoria 1.

1. ElabElaborar el porar el plan de audlan de auditoríitoría: objea: objetivotivos, alcas, alcances, metodnces, metodologíología, recura, recursos y crsos y cronogonogramrama de activa de actividadeidadess 2.

2. SeleSeleccioccionar lonar los estás estándarndares a uties a utilizar lizar de acuede acuerdo al ordo al objetibjetivo (Cobvo (CobITIT, ISO/I, ISO/IEC 27001EC 27001, ISO/I, ISO/IEC 27002EC 27002, ISO/IE, ISO/IECC 27005, CMMI, MAGERIT, OCTAVE, COSO, otro)

27005, CMMI, MAGERIT, OCTAVE, COSO, otro) 3.

3. De acueDe acuerdo al estrdo al estándar eándar elegilegido, seledo, seleccionccionar los ítear los ítems (doms (dominiminios, objeos, objetivotivos de conts de control) qurol) que serán ee serán evaluvaluadosados que estén en relación directa con el

que estén en relación directa con el objetivo y alcances definidos en el objetivo y alcances definidos en el plan de auditoría.plan de auditoría. 4.

4. SeSeleleccccioionanarreleleqequiuipopodedetrtrababajajooyyasasigignanarrtatarereasasesespepecícífificcasas 5

5.. DDeetteerrmmiinnaarr llaass aaccttiivviiddaaddeess qquuee ssee lllleevvaarráánn aa ccaabboo yy llooss ttiieemmppooss ddeessttiinnaaddooss eenn ccaaddaa íítteemm eevvaalluuaaddoo.. (Pro

(Programgramaadedeaudiauditoríatoría)) 6.

6. DDisiseeñañarr ininsstrtruummenentotoss ppararaa rerecocollececcicióónn ddee iinnffoormrmacacióiónn ((fforormmaattosos dede enentrtrevevisistatas,s, foformrmaatotoss ddee llisistatass ddee cheq

chequeo,ueo,formformatosatosdedecuescuestionationarios)rios) 7.

7. DDisiseeñañarrelelplplanandedeprpruuebebasas(f(foormrmatoatoprpruuebebasas))

Ejecución de la Ejecución de la

1.

1. AplAplicicar los inar los instrstrumumententos de recos de recoleoleccicción de inón de infoformarmacióción disen diseñadñadosos 2.

2. EjEjececututar ar lalas ps pruruebas ebas dedel pll plan dan de pre prueuebabass 3.

(22)

FI-GQ-GCMU-004-015 FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Plan de Auditoría

Í ÍTTEEMMSS DDEESSCCRRIIPPCCIIÓÓNN Antecedentes

Antecedentes ReResulsultatadosdos dede audaudititorioriasas ananteteririororeses

Objetivos

Objetivos EvEvaluaraluar,, ReRevisarvisar,, VVeriferificaricar,, ConConfirmfirmarar P

Pararaa cacadada ffasease unun obobjejetitivovo esespepecícífificoco Co

Compmpononenentetess dedell sisiststememaa aa auaudiditatarr Alcances

Alcances AAssppeeccttooss aa eevvaalluuaarr ddee ccaaddaa com

componeponentente audiauditabltablee Metodología

Metodología AcActitivividadadedes,s, tatarereasas,, papasososs paparraa llllevevarar a

a cacabobo cacadada obobjejetitivovo esespepecícífificoco Recursos

Recursos RReeccuurrssooss ffííssiiccooss,, mmaatteerriiaalleess,, te

(23)

CobIT

CobIT (Objetivos de Control par(Objetivos de Control para la Información y a la Información y TTecnologías relacionadas)ecnologías relacionadas) Criterios de información CobIT

Criterios de información CobIT

-- EfEfectectiviividad:dad:Información releInformación relevante pertinente para procesos del vante pertinente para procesos del negocio. Sunegocio. Su entreg

entrega sea a sea oportuna, correcta, y oportuna, correcta, y consistenconsistente.te.

-- EfEficiicienciencia:a: ProvisiProvisión ón de información a través de la de información a través de la utilización óptimautilización óptima (productiva y económica) de

(productiva y económica) de recursos.recursos.

-- ConConfidfidenciencialialidad:dad:Protección de información sensible contra divulgación noProtección de información sensible contra divulgación no autorizada.

autorizada.

-- IntIntegregridaidad:d: Precisión y suficiencia de Precisión y suficiencia de la información, validez de acuerdo conla información, validez de acuerdo con los valores y expectativas del negocio.

los valores y expectativas del negocio.

Auditoría de sistemas

Programa de auditoria estándar

(24)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Recursos auditables en COBIT Recursos auditables en COBIT

-- DaDatotos:s: Los elementos de datos en su más Los elementos de datos en su más amplio sentido, (extamplio sentido, (externos eernos e internos), estructurados y no estructurados, gráficos, sonido, etc.

internos), estructurados y no estructurados, gráficos, sonido, etc.

-- AplAplicaicaciocionesnes: Se: Se entiende como entiende como sistemas de sistemas de aplicación la suma aplicación la suma dede procedimien

procedimientos manuales tos manuales y programados.y programados.

-- TTecnecnologología:ía:hardware, software, sistemas operativos, sistemas dehardware, software, sistemas operativos, sistemas de administr

administración de bases ación de bases de datos, redes, comunicaciones, multimedia, etc.de datos, redes, comunicaciones, multimedia, etc.

-- InstInstalaalacioneciones:s: Recursos para alojar y dar soporte a los Recursos para alojar y dar soporte a los sistemas desistemas de información.

información.

-- PPerersonsonalal:: Habilidades del personal, Habilidades del personal, conocimientoconocimiento, conciencia y, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de

monitorear servicios y sistemas de información.información.

Auditoría de sistemas

Programa de auditoria estándar

(25)

EEssttrruuccttuurraa ddeell CCoobbIITT Dominios:

Dominios: SoSonn agagrurupapaciciononeses dede p

prroocceessooss qquuee ccoorrrreessppoonnddeenn aa u

unnaa rreessppoonnssaabbiilliiddaadd ppeerrssoonnaall

Procesos:

Procesos: SSoonn uunnaa sseerriiee ddee a

accttiivviiddaaddeess uunniiddaass ccoonn de

delilimimittacacióiónn oo cocortrteses dede cconontrtrolol

O

Obbjjeettiivvooss ddee ccoonnttrrooll::

Auditoría de sistemas

Programa de auditoria estándar

(26)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Dominio PLANEAR Y ORGANIZAR (PO):

Dominio PLANEAR Y ORGANIZAR (PO): Contiene a los procesosContiene a los procesos

PO1 Definir un Plan E

PO1 Definir un Plan Estrastratégico de TI.tégico de TI.

PO2 Definir la Arquitectura de Información. PO2 Definir la Arquitectura de Información. PO3 Determinar la dirección tecnológica. PO3 Determinar la dirección tecnológica.

PO4 Definir la Organización y Relaciones de TI. PO4 Definir la Organización y Relaciones de TI. PO5 Manejar la Inversión en TI.

PO5 Manejar la Inversión en TI. PO6 Comunicar las

PO6 Comunicar las directrices gerenciales.directrices gerenciales. PO7 Administrar Recursos Humanos.

PO7 Administrar Recursos Humanos.

PO8 Asegurar el cumplir Requerimientos Externos. PO8 Asegurar el cumplir Requerimientos Externos. PO9 Evaluar Riesgos.

PO9 Evaluar Riesgos.

PO10 Administrar proyectos. PO10 Administrar proyectos. PO11 Administrar Calidad. PO11 Administrar Calidad.

Auditoría de sistemas

Programa de auditoria estándar

(27)

Dominio ADQUIRIR E IMPLEMENTAR (AI):

Dominio ADQUIRIR E IMPLEMENTAR (AI): Contiene a los procesosContiene a los procesos

AI1 Identificar Soluciones. AI1 Identificar Soluciones.

AI2 Adquisición y Mantener Software de Aplicación. AI2 Adquisición y Mantener Software de Aplicación. AI3 Adquirir y Mantener Arquitectura de TI.

AI3 Adquirir y Mantener Arquitectura de TI.

AI4 Desarrollar y Mantener Procedimientos relacionados con TI. AI4 Desarrollar y Mantener Procedimientos relacionados con TI. AI5 Instalar y Acreditar Sistemas.

AI5 Instalar y Acreditar Sistemas. AI6 Administrar Cambios

AI6 Administrar Cambios

Auditoría de sistemas

Programa de auditoria estándar

(28)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Dominio ENTREGAR SERVICIOS Y DAR SOPORTE (DS):

Dominio ENTREGAR SERVICIOS Y DAR SOPORTE (DS): Contiene los procesosContiene los procesos

DS1 Definir niveles de servicio. DS1 Definir niveles de servicio.

DS2 Administrar Servicios de Terceros. DS2 Administrar Servicios de Terceros. DS3 Administrar Desempeño y Calidad. DS3 Administrar Desempeño y Calidad. DS4 Asegurar Servicio Continuo.

DS4 Asegurar Servicio Continuo.

DS5 Garantizar la Seguridad de Sistemas. DS5 Garantizar la Seguridad de Sistemas. DS6 Identificar y Asignar Costos.

DS6 Identificar y Asignar Costos. DS7 Capacitar Usuarios.

DS7 Capacitar Usuarios.

DS8 Asistir a los Clientes de TI. DS8 Asistir a los Clientes de TI. DS9 Administrar la Configuración. DS9 Administrar la Configuración.

DS10 Administrar Problemas e Incidentes. DS10 Administrar Problemas e Incidentes. DS11 Administrar Datos. DS11 Administrar Datos. DS12 Administrar Instalaciones. DS12 Administrar Instalaciones. DS13 Administrar Operaciones DS13 Administrar Operaciones

Auditoría de sistemas

Programa de auditoria estándar

(29)

Dominio MONITOREAR Y EVALUAR (ME):

Dominio MONITOREAR Y EVALUAR (ME): contiene a los procesoscontiene a los procesos

ME1 Monitorear los procesos. ME1 Monitorear los procesos. ME2 Evaluar lo adecuado del

ME2 Evaluar lo adecuado del control Interno.control Interno. ME3 Obtener aseguramiento independiente. ME3 Obtener aseguramiento independiente. ME4 Proveer auditoría independiente.

ME4 Proveer auditoría independiente.

Auditoría de sistemas

Programa de auditoria estándar

(30)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Programa de auditoria estándar

Programa de auditoria estándar CobIT

CobIT

AI2

AI2 Adquirir yAdquirir y Mantener Mantener Software Software Aplicativo Aplicativo AI2.1 Diseño de

AI2.1 Diseño de Alto NivelAlto Nivel AI2.2 Diseño Detallado AI2.2 Diseño Detallado

AI2.3 Control y Posibilidad de

AI2.3 Control y Posibilidad de Auditar las Auditar las AplicacionesAplicaciones AI2.4 Seguridad y Disponibilidad de las

AI2.4 Seguridad y Disponibilidad de las AplicacionesAplicaciones AI2.5 Configuración e Implementación de Software AI2.5 Configuración e Implementación de Software Aplicativo

Aplicativo AdquiridoAdquirido AI2.6

AI2.6 Actualizaciones Importantes en SistemasActualizaciones Importantes en Sistemas Existentes

Existentes

AI2.7 Desarrollo de Software

AI2.7 Desarrollo de Software AplicativoAplicativo AI2.8

AI2.8 Aseguramiento de la Calidad del SoftwareAseguramiento de la Calidad del Software AI2.9

AI2.9 Administración de los Requerimientos deAdministración de los Requerimientos de Aplicaciones

Aplicaciones

AI2.10 Mantenimiento de Software

(31)

Auditoría de sistemas

Programa de auditoria estándar

Programa de auditoria estándar CobIT

CobIT

AI3 Adquirir y AI3 Adquirir y Mantener Mantener Infraestructur Infraestructur a Tecnológica a Tecnológica AI3.1 Plan de

AI3.1 Plan de Adquisición de InfraestructuraAdquisición de Infraestructura Tecnológica

Tecnológica

AI3.2 Protección y Disponibilidad del Recurso de AI3.2 Protección y Disponibilidad del Recurso de Infraestructura

Infraestructura

AI3.3 Mantenimiento de la infraestructura AI3.3 Mantenimiento de la infraestructura

(32)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Programa de auditoria estándar

Programa de auditoria estándar CobIT

CobIT

DS5 Garantizar la DS5 Garantizar la Seguridad de los Seguridad de los Sistemas Sistemas DS5.1 Administr

DS5.1 Administración de la ación de la Seguridad de TISeguridad de TI DS5.2 Plan de Seguridad de TI

DS5.2 Plan de Seguridad de TI DS5.3 Administr

DS5.3 Administración de ación de IdentidadIdentidad DS5.4 Administr

DS5.4 Administración de ación de Cuentas del UsuarioCuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad

Seguridad

DS5.6 Definición de Incidente de Seguridad DS5.6 Definición de Incidente de Seguridad

DS5.7 Protección de la Tecnología de Seguridad DS5.7 Protección de la Tecnología de Seguridad DS5.8 Administración de

DS5.8 Administración de Llaves CriptográficLlaves Criptográficasas DS5.9 Preve

DS5.9 Prevención, Detección y nción, Detección y Corrección deCorrección de Software Malicioso

Software Malicioso

DS5.10 Seguridad de la Red DS5.10 Seguridad de la Red

DS5.11 Intercambio de Datos Sensitivos DS5.11 Intercambio de Datos Sensitivos

(33)

Auditoría de sistemas

Instrumentos de Recolección Información

(34)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Instrumentos de Recolección Información

(35)

Auditoría de sistemas

Instrumentos de Recolección Información

(36)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Instrumentos de Recolección Información

(37)

Auditoría de sistemas

Instrumentos de Recolección Información

(38)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Instrumentos de Recolección Información

PORCENTAJE DE RIESGO PORCENTAJE DE RIESGO

Porcentaje de riesgo parcial =

Porcentaje de riesgo parcial = (T(Total SI otal SI * 100) * 100) / Tot/ Totalal Porcentaje de riesgo =

Porcentaje de riesgo = 100 -100 - PorPorcentaje dcentaje de riesgo pare riesgo parcialcial Porcentaje de riesgo parcial =

Porcentaje de riesgo parcial = (11 * 100) / 36 = 30.55(11 * 100) / 36 = 30.55 Porcentaje de riesgo =

Porcentaje de riesgo = 100100 – – _{30.55 = 69.45}_{30.55 = 69.45}

Para determinar el nivel de riesgo total, se tiene en cuenta la escala : Para determinar el nivel de riesgo total, se tiene en cuenta la escala : 1%

1% -- 3030% = R% = Rieiesgsgo o BaBajojo 31%

31% -- 7070% % = = RiRiesgesgo o MeMediodio 71%

71% -- 100100% % = = RiesRiesgo go AltoAlto RIESGO:

RIESGO:

Porcentaje de riesgo parcial: Porcentaje de riesgo parcial: Porcentaje de riesgo = 69.45 Porcentaje de riesgo = 69.45

Impacto según relevancia del proceso:

(39)

Auditoría de sistemas

Análisis y evalua

(40)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Análisis y evalua

(41)

Auditoría de sistemas

Análisis y evalua

(42)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Pruebas de auditoria:

(43)

Auditoría de sistemas

Pruebas de auditoria: s

(44)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Pruebas de auditoria:

(45)

Auditoría de sistemas

Pruebas de auditoria:

(46)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Análisis y evalua

Análisis y evaluación riesgo

ción riesgoss

P P R R O O B B A A B B I I L L I I D D A A D D Alto Alto 61-100% 61-100% Zona de Riesgo Zona de Riesgo Moderado Moderado Zona de riesgo Zona de riesgo Importante Importante Zona de riesgo Zona de riesgo Inaceptable Inaceptable Medio Medio 31-60% 31-60% Zona de riesgo Zona de riesgo Tolerable Tolerable Zona de riesgo Zona de riesgo Moderado Moderado Zona de riesgo Zona de riesgo Importante Importante Bajo Bajo 0-30% 0-30% Zona de riesgo Zona de riesgo Aceptable Aceptable Zona de riesgo Zona de riesgo Tolerable Tolerable Zona de riesgo Zona de riesgo Moderado Moderado LLeevvee MMooddeerraaddoo CCaattaassttrróóffiiccoo

IMPACTO IMPACTO

MATRIZ DE PROBABILIDAD DE IMPACTO MATRIZ DE PROBABILIDAD DE IMPACTO

(47)

Auditoría de sistemas

Análisis y evalua

Análisis y evaluación riesgo

ción riesgoss

MATRIZ DE PROBABILIDAD DE IMPACTO MATRIZ DE PROBABILIDAD DE IMPACTO

P P R R O O B B A A B B I I L L I I D D A A D D Alto Alto 61-100% 61-100% R R44, , RR77 RR11 Medio Medio 31-60% 31-60% R R22, , RR55 RR66 Bajo Bajo 0-30% 0-30% R R33, , RR88 RR99

(48)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Resultados de la auditoría:

Hallazgos

Á

Árreea a iinnffoorrmmááttiiccaa RR//PPTT: : PP11 H

Haallllaazzggoos s dde e lla a AAuuddiittoorrííaa HH11 Dominio

Dominio Adquisición e Adquisición e ImplementacióImplementaciónn

Proceso

Proceso AI3 AI3 Adquirir y maAdquirir y mantener la arquitntener la arquitectura tecnolectura tecnológicaógica

Objetivo de Control

Objetivo de Control Evaluación de HardwareEvaluación de Hardware

Riesgos Asociados

Riesgos Asociados R15, R16, R18, R19R15, R16, R18, R19

Descripción Descripción

En el área informática no se lleva un r

En el área informática no se lleva un registro de mantenimientegistro de mantenimiento y de cambios de hardware, ademáso y de cambios de hardware, además no existe personal de

no existe personal de mantenimientmantenimiento dedicado a este proceso, o dedicado a este proceso, el mantenimiento está sujeto a lasel mantenimiento está sujeto a las directrices de la dirección financiera de

directrices de la dirección financiera de acuerdo al presupuesto, el inventario no se acuerdo al presupuesto, el inventario no se actualizaactualiza periódicamente cuando se han realizado cambios o adquisición de

periódicamente cuando se han realizado cambios o adquisición de nuevo hardwarenuevo hardware

Recomendación Recomendación

El Encargado de la

El Encargado de la administración debe sugerir calendarización de inventarios y mantenimientos deadministración debe sugerir calendarización de inventarios y mantenimientos de hardware

hardware

Causa Causa

Falta de recursos económicos y la falta de planeación por parte del encargado de la administración Falta de recursos económicos y la falta de planeación por parte del encargado de la administración del área informática en la

del área informática en la organización.organización.

Nivel del Riesgo Nivel del Riesgo

En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es moderado

(49)

Auditoría de sistemas

Resultados de la auditoría:

Hallazgos

Á

Árreea a iinnffoorrmmááttiiccaa RR//PPTT: : PP22 H

Haallllaazzggoos s dde e lla a AAuuddiittoorrííaa HH22 Dominio

Dominio Adquisición e Adquisición e ImplementacióImplementaciónn

Proceso

Proceso AI3: AI3: Adquirir y mantAdquirir y mantener la arquitener la arquitectura tecnológectura tecnológicaica

Objetivo de Control

Objetivo de Control Mantenimiento PreventivMantenimiento Preventivo para o para HardwareHardware

Riesgos Asociados

Riesgos Asociados R15, R16, R18, R19R15, R16, R18, R19

Descripción Descripción

La Institución tiene programadas j

La Institución tiene programadas jornadas de mantenimiento ornadas de mantenimiento y el coordinador del área las programa aly el coordinador del área las programa al inicio del año. La Administración solo da de baja equipos no funcionales, pero no hace

inicio del año. La Administración solo da de baja equipos no funcionales, pero no hace solicitudes desolicitudes de cambio de equipos, el nuevo hardware está supeditado a los

cambio de equipos, el nuevo hardware está supeditado a los recursos disponibles .recursos disponibles .

Recomendación Recomendación

El administrador del área informática debe programar los mantenimientos por lo menos dos veces al año, El administrador del área informática debe programar los mantenimientos por lo menos dos veces al año, las actualizaciones de cambio o repotenciación de equipos se deben pr

las actualizaciones de cambio o repotenciación de equipos se deben pr esupuestar para las vigenciasesupuestar para las vigencias futuras.

futuras.

Causa Causa

(50)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Resultados de la auditoría:

Tratamiento de riesgos

N

NIIVVEEL L DDE E RRIIEESSGGOO TTRRAATTAAMMIIEENNTTO O DDEEL L RRIIEESSGGOO

Aceptable

Aceptable Finaliza el proceso.Finaliza el proceso.

Tolerable Tolerable

Una de las tres opciones: Una de las tres opciones:

a. Se transfiere el riesgo por ejemplo tomando a. Se transfiere el riesgo por ejemplo tomando un seguro.

un seguro. Intolerable

Intolerable b. Se evita el riesgo retirando el activo b. Se evita el riesgo retirando el activo dede información.

información. Extremo

Extremo c. Se reduce o mitiga el riesgo por c. Se reduce o mitiga el riesgo por medio demedio de controles.

(51)

Auditoría de sistemas

Resultados de la auditoría:

(52)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

Auditoría de sistemas

Resultados de la auditoría:

nivel de madurez

DICT

DICTAMEN DE AMEN DE LA AUDITORÍALA AUDITORÍA

PROCESO COBIT: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES PROCESO COBIT: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.

DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA. Objetivo de la Auditoria:

Objetivo de la Auditoria: Dictamen:

Dictamen: Se califica un nivel de Se califica un nivel de madurez: 3 DEFINIDOmadurez: 3 DEFINIDO

Hallazgos que soportan el Dictamen: Hallazgos que soportan el Dictamen: Recomendaciones:

(53)

Auditoría de sistemas

Resultados de la auditoría:

nivel de madurez

Proceso COBIT AI3: Adquirir y mantener infraestructura tecnológica Proceso COBIT AI3: Adquirir y mantener infraestructura tecnológica Hallazgo

Hallazgo

No esta de

No esta detallada los procedimtallada los procedimientos a seguir o ientos a seguir o un plan de contingun plan de contingencia enencia en caso de que el

caso de que el hardwarhardware no funciones. No e no funciones. No se lleva un registro delse lleva un registro del mantenimiento del hardware

mantenimiento del hardware

Recomendaciones Recomendaciones

Se debe crear un plan

Se debe crear un plan y procesos de mantenimienty procesos de mantenimiento que permitan documentaro que permitan documentar las actividades de

las actividades de mantenimiemantenimiento, para que se realicen de manera oportuna.nto, para que se realicen de manera oportuna. En la dependencia debe existir un plan

En la dependencia debe existir un plan de contingencia que permita darde contingencia que permita dar solución inmediata en caso de presentarse algún fallo en el

solución inmediata en caso de presentarse algún fallo en el hardwarhardware. Ene. En cuanto a los diferentes niveles de daños, se hace

(54)

FI-GQ-GCMU-004-015

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013

PREGUNTAS?

(55)

Francisco Nicolás

Francisco Nicolás Solarte

Solarte

Docente de carrera Universidad Nacional

Abier

Abierta y a Distancia

ta y a Distancia -- UNAD

UNAD

Docente hora cátedra Universidad de Nariño

FI-GQ-GCMU-004-015 VV 001-17-04-2013001-17-04-2013